Selva Orejón: “¡No somos conscientes de la cantidad de datos personales que hay en la red explotables por un criminal!”

Selva Orejón es perito judicial especializado en identidad digital, reputación y ciberseguridad. Es una mujer en un sector que, a priori, el lector podría pensar que está dominado por perfiles masculinos. Pionera en ciberseguridad en España, fue una de las galardonadas en los Premios DonaTIC 2022, otorgados por el Gobierno de la Generalitat de Cataluña, que nacieron con el fin de elevar el techo de cristal existente en el sector tecnológico en cuanto a la presencia de las mujeres. 

Licenciada en Ciencias de la Comunicación por la Universidad Ramon Llull (Facultad Blanquerna), Selva Orejón está especializada en Publicidad y Relaciones Públicas y Gestión de Crisis. Además, ha obtenido los diplomas “La inteligencia al servicio del Estado y la empresa”, por la Universidad Internacional de Andalucía (UNIA), y “Business Organization and Environment”, por la Universidad de Cambridge. Recientemente, Selva Orejón participó en el coloquio organizado por los Estudios de Derecho y Ciencia Política de la UOC “Seminario de inserción profesional: ¿Qué pueden aportar las personas expertas en ciberdelincuencia?”, donde intervino junto a los expertos Tomás Roy, de la Agencia Catalana de Ciberseguridad, y Marc Nieto. Hace 15 años creó onBRANDING, una consultora especializada en protección de la identidad digital de empresas y personajes públicos. Ella y su equipo acompañan a sus clientes en la gestión de crisis digitales, campañas que afectan a la ciberseguridad y la reputación en línea. 

Mujer y ciberseguridad. ¿No son dos conceptos que pueden parecer difíciles de casar?

¡Pues no! Hay muchas mujeres en el mundo de la ciberseguridad y más todavía en el mundo de la ciberinvestigación. De hecho, en el equipo de onBRANDING hay más mujeres que hombres. En los cuerpos policiales también hay muchísima paridad en materia de ciberseguridad. Puede que si miramos los datos desde una perspectiva macro sea otra historia, pero mi realidad es esta. Seguramente me relacione con muchas más mujeres que hombres en el ámbito profesional. 

¡El análisis de la inteligencia es cosa de mujeres!

Yo vengo del campo de la comunicación y he virado poco a poco hacia la seguridad y la investigación, por eso siempre he tratado con muchas mujeres. Antes, en los congresos de ciberseguridad, sobre todo en ingenierías informáticas y telecomunicaciones, había muchos hombres, pero no sucedía lo mismo con la ciberseguridad y superinteligencia. 

Ganadora de los Premios DonaTIC 2022. ¡Enhorabuena! ¿Qué significa para ti este galardón?

Para mí fue muy un gran motivo de satisfacción. Nunca había sido consciente de la cantidad de años que llevaba sacando adelante la empresa hasta que me dieron el premio. Eso también implica cierta responsabilidad, y me dio mucha alegría porque lo compartí con personas con las cuales hace muchos años que trabajo. De hecho, fue como una especie de cierre de etapa: miré atrás y me di cuenta de que cerraba la etapa de startup y empezaba a caminar de lleno hacia una empresa grande y consolidada. Somos 26 trabajadores en estos momentos… y empecé yo sola, ¡hace ahora dieciséis años!

¿Por qué decidiste introducirte en este mundo?

Nunca he sabido hacer solo una sola cosa. En el año 2006 vivía en Berlín, viví una situación muy crítica y preví que podría ocurrir en España en un futuro próximo. Nos hackearon la base de datos de la empresa en la que trabajaba. La consecuencia fue que un chico de tan solo veintiún años hizo pública la base de datos de nuestros clientes y colgó un vídeo en las redes con datos muy sensibles. Pidió un rescate a cambio de los datos, pero al poco tiempo lo encontró la policía y se acabó suicidando. 

Además de ser una enorme desgracia, aquello generó un cambio dentro de mí. Cuando volví a España me localizaron varias empresas que eran claras competidoras de la nuestra. Trabajé primero en Planeta y después en Repsol como responsable de comunicación y reputación en línea. Empecé a estudiar como repercutían reputacionalmente ciertas acciones materiales o digitales en las empresas. Mi especialidad ha sido siempre la gestión de crisis, a la que va muy ligada la seguridad. Dado que ahora esa seguridad también es digital, los riesgos se multiplican. Desde siempre me han encantado el análisis de inteligencia y el mercado del crimen: saber qué se hace con los datos que se roban, por ejemplo, cuando hackean una empresa. 

Diploma en Inteligencia al Servicio del Estado y la Empresa. ¡Parece de película!

¡Qué va! Es mi día a día. Ahora sí que hay másteres, posgrados, estudios varios… cuando yo estudiaba la carrera nadie me dijo que existían todas esas posibilidades. Llama mucho la atención, pero el análisis de inteligencia se ha utilizado desde siempre a lo largo de la historia. El análisis estratégico, de hecho, viene de la inteligencia militar: el DAFO, para que te hagas una idea, ¡viene de allí! Cuando una persona trabaja en una agencia de inteligencia, puede tener un perfil de campo o puede ser analista de inteligencia y dedicarse al análisis de satélites, al análisis de imágenes tradicionales…

Quienes estudian esta disciplina pueden elegir tanto la vertiente del funcionariado o pueden ser, dentro de la empresa, analistas de inteligencia puros. En onBRANDING tenemos una unidad de operaciones que está formada por la unidad de ciberinvestigación (acoso, extorsión o cibercrimen), la unidad de ciberinteligencia (una vertiente que trata de las oportunidades de las empresas que pueden ser explotables, como por ejemplo la compra de dominios web muy parecidos a los originales o documentos filtrados) y la unidad de reputación en línea (que se dedica a buscar quiénes son los detractores de la marca o, al contrario, quiénes pueden acabar siendo potenciales influenciadores).

Desde su perspectiva de experta en ciberseguridad, ¿a qué problemas nos enfrentamos hoy en día?

No me considero experta, sino especialista. El principal problema al que nos enfrentamos, y que es enorme, es que no sabemos cuál es nuestra identidad digital. No existe ninguna conciencia, ni a nivel empresarial ni doméstico. No sabemos la cantidad de datos que hay en la red explotables por un gobierno ajeno, una persona cualquiera o un grupo criminal. Existe mucho desconocimiento, y también suceden muchos hechos que denotan que nuestra sociedad todavía es muy confiada. 

Yo soy de pueblo y recuerdo dormir la siesta con las puertas abiertas. Al cabo de unos años empezamos a cerrar las puertas de casa y después pasamos a poner alarmas de seguridad. Nos está pasando lo mismo en el ámbito digital. La realidad está cambiando, pero todavía somos muy bien pensados. Además, la gente no es consciente de la gravedad de los problemas. Solo dos veces en la vida nos han llegado personas que buscaban un trabajo de prevención; la mayoría de los que vienen ya lo hacen en situaciones de alto riesgo. 

Ciberseguridad y geopolítica. Parecen indisociables hoy, ¿no? ¿Me puede poner algún ejemplo?

Hoy he tenido una reunión de gestión de crisis con una empresa que necesita estar al corriente de la geopolítica porque tiene muchas filiales en países en guerra o preguerra. ¿Solución? Tenemos que disponer de informantes sobre el terreno que nos envíen información actualizada sobre la situación en esos países para que la empresa pueda tomar las decisiones adecuadas y prever los diferentes escenarios. 

Hace poco, por ejemplo, tenía que ir a Ruanda a presentar el CyberTech. Finalmente, no lo hicimos porque no nos inspiraba la suficiente confianza que fuera con la situación que se estaba viviendo en el país. Ahora nos tenemos que acercar a Níger y estamos valorando si lo podemos hacer. Durante el procés, sin ir más lejos, tuvimos mucho trabajo con el boicot a los productos catalanes. También durante las manifestaciones que se convocaron en Barcelona, para poder prever si los bancos tenían que proteger sus oficinas o no del vandalismo.

¿Qué recomendaría Selva Orejón en el ámbito de usuario? ¿Estamos muy desinformados y desprotegidos?

Algunas de las cosas esenciales que habría que hacer son: activar alertas frente al contenido con tu nombre y apellidos que figuran en el DNI, tus números de teléfono, las matrículas de los coches que tienes o tu número de la seguridad social. También es interesante hacerlo con alguna palabra negativa asociada a tu persona o profesión, además de activar el doble factor de verificación en todas las redes y canales que uses. Comprobar muy bien la configuración de privacidad de todos los chats, no conectarte nunca a la red sin una VPN, tener un duplicado de todas las SIM que utilices para no perder nunca de forma definitiva tu teléfono o poner un protector de pantalla en las cámaras de los dispositivos.